Bununla birlikte, siber güvenlikte, net kârın ölçülmesi, yararlarının somut olmayan doğası ve doğrudan gelir üretiminin olmaması nedeniyle önemli ölçüde daha karmaşık hale gelmektedir. Siber güvenlik yatırımları genellikle doğrudan gelir üretmez; Bunun yerine, veri ihlalleri, iş kesinti süreleri, fidye yazılımı saldırıları, marka itibarına zarar veren hasar ve müşteri güveni kaybı gibi potansiyel kayıpları önleyen koruyucu önlemler olarak işlev görürler.
1. Güvenlik açıklarıyla ilişkili risklere nasıl değer atarsınız?
Anketimizdeki güvenlik liderlerinin çoğunluğu, güvenlik açıklarıyla ilişkili riskleri değerlendirirken aşağıdaki doğrudan ve dolaylı maliyetleri önemli hususlar olarak ifade ettiler:
|
Katılımcıların % |
Bir güvenlik açığı riskini değerlendirmek |
İma |
|
% 82 |
Risk değerlendirmelerinde müşteri güveni ve marka itibarının önemini vurguladı |
Müşteri güveni ve marka itibarı gibi finansal olmayan yönler, siber güvenlik risklerini değerlendirirken gerekli görülmektedir. |
|
% 77 |
Risk değerlendirmelerinde yüksek oranda uyum ve düzenleyici sonuçlar |
Düzenlemelere uyum ve cezalardan kaçınmak, güvenlik yatırımlarını yönlendiren kritik faktörlerdir. |
|
% 84 |
Temel risk değerlendirmesi olarak vurgulanan operasyonel etki |
Kuruluşlar, güvenlik açıklarını ele almanın önemini değerlendirirken operasyonlarda aksamaların en aza indirilmesine öncelik vermektedir. |
Azaltma Getirisi (ROM): Siber Güvenliğin Kârlılığı Kanıtı
Başlangıçta Hackerone tarafından Sans Beyaz Paper’da tanıtılan ROM, yatırımın net kâr yerine tersi olduğu için “hafifletilmiş kayıpları” kullanan bir YG hesaplamasıdır. Siber güvenliğin bir maliyet merkezi yerine bir işletme için nasıl karlı kabul edilebileceğini gösteren basit ama güçlü bir değişim.
|
|
|
2. Siber güvenliğin değerini para açısından nasıl basitleştirebilirim?
ROM’un en zorlayıcı yönlerinden biri, siber güvenliğin faydalarını en evrensel olarak anlaşılan dile çevirme yeteneğidir: para. Yöneticiler ve yönetim kurulu üyeleri, özellikle de Baş Mali Görevliler (CFO’lar) gibi finansal gözetimden sorumlu olanlar için, siber güvenlik girişimlerine yatırım yapma kararı genellikle finansal etkilerinin net bir şekilde anlaşılmasına bağlıdır. ROM, siber güvenlik liderlerinin, siber güvenlik önlemlerinin risklerine ve faydalarına dolar değerleri ekleyerek güvenlik dışı paydaşlarla rezonansa giren karmaşık güvenlik kavramlarını ifade etmelerini sağlar.
Bütçeyi haklı çıkarmak için ROM nasıl kullanılır
ROM, güvenlik ekiplerinin, azaltılmış risklerin potansiyel finansal etkisini ölçerek bütçe taleplerini haklı göstermesine yardımcı olabilir. Araçlara, eğitimlere veya personele yapılan yatırımların maliyetli olayları nasıl önleyebileceğini göstererek, ROM soyut riskleri yöneticiler ve yönetim kurulu üyeleriyle rezonansa sokan açık finansal metriklere dönüştürür.
3. Siber güvenliğin somut olmayan faydalarını nasıl ölçebilirim?
ROM’un güçlü yönlerinden biri, hesaplamanın, itibar, müşteri güveni ve operasyonel istikrar gibi siber güvenliğin somut olmayan yönlerinin dahil edilmesine ve nicelleştirilmesine izin vermesidir. Bu faktörlerin doğrudan gelir üretimine bağlı olmasa da, önemli finansal etkileri vardır. Örneğin, bir veri ihlali müşteri güvenini aşındırabilir, bu da karmaşaya ve gelecekteki satışları kaybedebilir. ROM, Müşteri Yaşam Boyu Değeri (CLTV) ve öngörülen karmaşa oranları gibi faktörlere dayanan bu potansiyel kayıplara bir dolar değeri atayarak soyut riskleri somut finansal metriklere dönüştürür. Bu yaklaşım sadece siber güvenlik yatırımlarının faydalarını daha somut hale getirmekle kalmaz, aynı zamanda güvenlik girişimlerini toplantı odalarında kullanılan finansal dille de hizalar.
Güvenlik girişimlerine öncelik vermek için ROM nasıl kullanılır
ROM, kuruluşların finansal kayıpları azaltmak için en yüksek potansiyel sunanlara odaklanarak güvenlik girişimlerine öncelik vermelerine yardımcı olabilir. Bu, kaynakların en etkili alanlara tahsis edilmesini ve güvenlik programının genel verimliliğini artırmasını sağlar.
4. Bütçe onayını nasıl güvence altına alabilirim?
ROM, güvenlik ekiplerine finansman talepleri için zorlayıcı bir iş durumu oluşturmak için bir çerçeve sağlayarak bütçe onay sürecini kolaylaştırır. Güvenlik araçlarına, eğitimine veya personeline yapılan yatırımların önlenen maliyetlere ve iyileştirilmiş finansal sonuçlara nasıl dönüştüğünü göstererek, ROM siber güvenlik liderlerinin finansal karar vericilerin kaygılarıyla doğrudan konuşmasına izin vererek güvenlik bütçelerinin onaylanma olasılığını artırır.
Yatırım seçeneklerini karşılaştırmak için ROM nasıl kullanılır
Kuruluşlar, maliyet etkinliklerine göre farklı güvenlik programlarını veya girişimleri karşılaştırmak için ROM’u kullanabilirler. Örneğin, bir hata ödül programı için ROM, hangi yaklaşımın risk azaltma açısından daha yüksek bir getiri sağladığını belirlemek için geleneksel penetrasyon test hizmetleriyle karşılaştırılabilir.
5. Güvenlik girişimlerini iş hedefleriyle nasıl hizalayabilirim?
Doğası gereği ROM, siber güvenlik girişimlerinin daha geniş iş hedefleriyle uyumunu destekler. Güvenlik yatırımları koruyan önlemler olarak çerçevelendiğinde hasılat akışlar, korumak Müşteri Sadakative sağlayın operasyonel süreklilikşirketin stratejik planlamasının temel bileşenleri olarak algılanmaları daha olasıdır. Bunların hepsi ölçülebilir ve hesaplamanın “azaltılmış kayıplar” parametresine dahil edilebilir. ROM, siber güvenlik liderlerinin kuruluşun iş hedefleriyle uyumlu zorlayıcı bir anlatı sağlamalarını sağlar.
Kurul raporlamasını ve paydaş iletişimini iyileştirmek için ROM nasıl kullanılır
ROM, siber güvenlik faydalarını teknik olmayan paydaşların anladığı şartlara dönüştüren bir finansal metrik sağlar. Siber güvenlik yatırımlarının kuruluşun finansal esnekliğine nasıl katkıda bulunduğunu göstermek için kurul raporlarında veya sunumlarda kullanılabilir.
6. Risk azaltma çabalarının zaman içindeki etkisini nasıl ölçebilirim?
ROM, zaman içinde risk azaltma çabalarının etkinliğini izlemek için bir metrik olarak kullanılabilir. ROM’u yıllık veya üç ayda bir hesaplayarak, kuruluşlar güvenlik önlemlerinin potansiyel kayıpları azaltma açısından ne kadar iyi performans gösterdiğini değerlendirebilir.
Bir olayın finansal etkisini analiz etmek için ROM nasıl kullanılır
Bir güvenlik olayından sonra ROM, olayın finansal etkisini değerlendirmek ve yürürlükte olan hafifletme önlemlerinin etkinliğini belirlemek için kullanılabilir. Bu analiz, kuruluşun güvenlik duruşunu güçlendirmek için gelecekteki stratejileri bilgilendirebilir.
Blogumuzu okuyun Kuruluşunuz için ROM’u hesaplama hakkında daha fazla bilgi için ve yaklaşan beyaz makalemiz için bizi izlemeye devam edin: Neyin Önemli Ölçülmesi: Cisos Rehberi Kayıp Headyation ile YG için Kılavuz.